甚么是DNS？域名系统 (DNS) 是一种将域名（例如website.com）转换为IP地址的协议。当用户在浏览器中输入域名website.com时，DNS 解析器（操作系统中的一个程序）会搜索数字IP地址或website.com。

为何要对DNS进行攻击？DNS是IP网络和互联网的一项基本服务，这意味着在大多数交换期间都需要DNS。通讯通常从DNS解析开始，如果解析服务不可用，大多数利用程序将没法再运行。 

攻击者常常试图通过绕过协议标准功能或利用漏洞利用和缺点来谢绝DNS服务。DNS被所有安全工具接受，对协议或使用的验证有限。这可以为隧道、数据泄漏和其他利用地下通讯的攻击打开大门。

五种主要的DNS攻击类型是甚么？

1、DNS隧道

DNS隧道触及对DNS查询和响应中的其他程序或协议的数据进行编码。它通常具有可以接收DNS服务器并允许攻击者管理远程服务器和利用程序的数据有效负载。 

DNS隧道通常依赖于受感染系统的外部网络连接，这提供了一种通过网络访问进入内部DNS服务器的方法。它还需要控制服务器和域，该服务器和域充当履行数据有效负载可履行程序和服务器端隧道的权威服务器。 

2、DNS放大

DNS放大攻击在目标服务器上履行散布式谢绝服务(DDoS)。这触及利用公然可用的开放式 DNS 服务器，以便用DNS响应流量压倒目标。 

通常，攻击始于要挟行动者向开放的DNS服务器发送DNS查找要求，将源地址欺骗为目标地址。一旦DNS服务器返回DNS记录响应，它就会被传递到新的目标，该目标由攻击者控制。

3、DNS泛洪攻击

DNS泛洪攻击触及使用DNS协议履行用户数据报协议(UDP)泛洪。要挟行动者以极高的数据包速率部署有效（但被欺骗）的DNS要求数据包，然后创建大量源IP地址组。 

由于要求看起来有效，目标的DNS服务器开始响应所有要求。接下来，DNS服务器可能会被大量要求淹没。DNS攻击需要大量网络资源，这会使目标DNS基础设施疲惫不堪，直到它脱机。结果，目标的互联网访问也降落了。 

4、DNS 欺骗

DNS欺骗或DNS缓存中毒触及使用更改的DNS记录将在线流量重定向到冒充预期目的地的讹诈站点。一旦用户到达讹诈目的地，系统就会提示他们登录自己的帐户。 

一旦他们输入了信息，他们实际上就给了要挟行动者盗取访问凭证和在讹诈性登录表单中输入的任何敏感信息的机会。另外，这些歹意网站通经常使用于在终究用户的计算机上安装病毒或蠕虫，使要挟行动者能够长时间访问计算机及其存储的任何数据。

5、NXDOMAIN攻击

DNS NXDOMAIN泛洪DDoS攻击试图通过对无效或不存在的记录发出大量要求来淹没DNS服务器。这些攻击通常由DNS代理服务器处理，该服务器用尽其大部份（或全部）资源来查询DNS权威服务器。这会致使DNS权威服务器和DNS代理服务器耗尽所有时间来处理毛病的要求。结果，合法要求的响应时间变慢，直到终究完全停止。

以下几种方法可以帮助我们保护企业免受DNS攻击：

1、保持DNS解析器的私密性和受保护

将DNS解析器的使用限制为仅供网络上的用户使用，永久不要对外部用户开放，这可以避免其缓存被外部参与者毒化。 

2、配置我们的DNS以避免缓存中毒

在我们的DNS软件中配置安全性，以保护我们企业免受缓存中毒。我们可以为传出要求添加可变性，以使要挟行动者难以插入虚假响应并使其被接受。例如，尝试随机化查询ID，或使用随机源端口而不是 UDP端口53。

3、安全地管理我们的DNS服务器

权威服务器可以由服务提供商在内部托管，也能够在域名注册商的帮助下托管。如果我们具有内部托管所需的技能和专业知识，则可以完全控制。如果我们不具有所需的技能和范围，可能会从这方面的外包中受益。 

4、测试我们的Web利用程序和API会不会存在DNS漏洞

Bright会自动扫描我们的利用程序和API以查找数百个漏洞，包括DNS 安全问题。

以上是五种DNS攻击类型及其预防方法，希望能帮助到大家！